企业安全的“悖论”:为何安全软件不安全? – 作者:啃玉米的小仙女

谈到企业安全需求,就不得不谈到企业的数字能力;谈到企业的数字能力,就避不开企业购买的众多安全产品:为何购买了那么多的安全产品,却还是躲不掉配置错误、买来不用等这些“万年深坑”?

是不是经常有领导这样想:买来这么一堆安全产品有什么用?或许不部署安全措施,反而能让IT工程师的警惕性更高些?换句话说:是不是这种错误的安全感,比没做安全更糟糕?

企业安全“悖论”的原因

对于企业安全的这些问题,MailData经过细致分析,发现一般是以下4因素进行影响:

1、安全产品繁杂。

公司购买的安全产品太多,各种安全防护交叉操作,自然会有忽略的漏洞。同时,众多安全产品皆需要相应的运维费用,也会导致真正需要资金的安全项目资金不足,无法进行有力防护。

2、安全防护不够精细化。

企业数字安全涉及多个系统,需要针对系统的专业型安全防护工具,如MailData系列产品,就是专门针对企业等机构的邮件系统安全和数据使用。如果企业仅以一个安全产品来涵盖全部的安全管理,必然会存在一些不足。

3、企业安全IT团队管理粗犷。

企业数字安全涉及多个安全分支,而负责的安全IT人员分工不明,一人兼管多项,导致易出现漏洞。

4、安全人员培训问题。

专业的设备,需要IT技术人员专业操作。如果企业自身无法提供相应的培训,而安全产品厂商也不提供设备的专业培训,很容易出现产品操作失误、或者弃之不用的问题。

公司安全改进措施

1、所有没在用的/错误配置的安全解决方案,统统扔掉。

只有去除这些冗余无效的安全方案,才能磨出企业安全的“刀刃”。没那么多安全工具,没那么混乱,劲就能往一处使,安全态势也就会更好。

2、划拨专业安全的专项资源。

针对这些单个的专业安全工具,划拨专项资金和专门的技术资源来好好利用,让它们可以切实得到最大效利用,还能为公司省下很多时间、精力和金钱。

3、调配出每个安全小支的安全团队,并能够根据不断发展变化的业务需求,做出精准改变。

专攻一个安全解决方案,并可以随进行团队调配,可以有效提升安全人员的责任感,减少推诿个人责任的机会,还能够帮助企业建设员工相互支持的企业文化。

图片[1]-企业安全的“悖论”:为何安全软件不安全? – 作者:啃玉米的小仙女-安全小百科

当然,也不是随便哪个安全解决方案都能承担起护卫公司安全的重责。公司企业应该找寻的,是专注基本安全控制功能的解决方案,如安全配置管理、漏洞管理、邮件安全管理等。

对于为什么安全解决方案要专注基本安全措施,Tripwire首席安全研究员 Travis Smith表示:“基本安全控制切实有效。仅仅实现首要的五项基本控制,就能防止85%的常见网络攻击,实现20个安全控制措施能防止97%的常见网络攻击,只要遵循基本安全指南就行。”

企业数字安全管理,自然是数字说明一切。很明显,找到集成了这些专业的基本安全解决方案,才最符合公司利益。

来源:freebuf.com 2020-08-28 16:22:17 by: 啃玉米的小仙女

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论